MasterKey Bug in zwei Play Store Apps entdeckt, aber kein Grund zur Panik, oder doch?
Über den MasterKey Exploit, der fast alle Android Smartphones betrifft, haben wir berichtet. Ebenso gaben wir den Ratschlag, Apps nur aus vertrauenswürdigen Quellen zu installieren, wie etwa dem Google Play Store, der ja bekanntlich einen Check durchführt. Dumm nur, wenn trotzdem Apps dort auftauchen, die eben diese Lücke ausnutzen.
In diesem Fall ist es nicht etwa ein Angriff auf Euer Smartphone, vielmehr dürfte es um einen unbeabsichtigten Fehler in den Apps handeln. Von diesen beiden Apps, Rose Wedding Cake Game und Pirates Island Mahjong geht also keine Gefahr aus. Problematisch ist nur, dass Googles Sicherheitsmechanismen nicht angeschlagen haben. Somit können auch andere Apps diesen Exploit ausnutzen, ohne sofort entdeckt zu werden.
[werbung] Google hat den Bug übrigens immer noch nicht gepatched. Es wurde zwar ein Fix an Hersteller verteilt, das Nexus 4 ist aber immer noch angreifbar, zumindest laut Bluebox Security Scanner, der mittlerweile auch einen zweiten Bug anzeigt.
Noch ist nichts bekannt, dass dieser Bug bereits aktiv ausgenutzt wurde, um Schäden anzurichten. Eigentlich erstaunlich, wenn man bedenkt, wie lange dieser nun bereits bekannt ist und wie viele Geräte er betrifft. Jetzt, da man sich nicht einmal mehr sicher sein kann, dass Apps aus dem Play Store sicher sind, bekommt die Sache schon ein bisschen mehr Würze.
Wer Root-Zugriff auf seinem Androiden hat, kann sich mit der ReKey-App den Patch selber einspielen. Die Erfahrungsberichte sind allerdings nicht eindeutig, die Installation erfolgt demnach auf eigene Gefahr.
Mein Samsung Galaxy S3 hat heute Morgen ein Update gezogen. gibt es einen Weg zu überprüfen, ob dieses Update die Lücke schließt?
Wird dann ja vll bald mit 4.3 auf den Nexus-Geräten gefixt…. (?)
In den aktuellen Versionen des Custom Rom Cyanogenmod 10.1 (in meinem Fall die Nightlie für das Galaxy S2) ist der Patch auch bereits enthalten.
Meines Wissens nach nutzt Google zur Überprüfung einen Dienst namens Bouncer. Dieser simuliert die Installation der apk’s in einer VM und checkt diese dort auf verdächtiges Verhalten. Dies kann aber umgangen werden, indem die App überprüft ob sie in einer VM oder auf einem tatsächlichen Gerät gestartet wird. Ist die Malware-App schlau genug programmiert, nutzt auch der Google Check nix.
der rekey ist mit vorsicht zu geniessen… bei meinem s3 gabs nen hotboot, manche phones hängen im bootloop… ich empfehle jedem ein backup zu machen, der rekey installiert.
Google prüft auf diesen Bug anscheinend nicht explizit. Die größte Gefahr geht von diesem Bug aus, wenn eine App die Rechte und Daten einer anderen übernimmt. Dies ist beim Play Store nicht möglich, da im Play Store wird der einfache Test durchgeführt, dass der Package-Name einer App eindeutig ist. Was – nach diesem Artikel – anscheinend möglich ist, ist das Verändern von Apps. Verbreiten kann man diese über den Play Store aber nur, wenn man das Entwicklerkonto übernommen hat. (Ansonsten ist der Package-Name ja schon vergeben) In diesem Fall kann man aber sicherlich auch noch ganz andere lustige Dinge anstellen.
Es gibt eine Lösung die nennt sich Xposed Patch for Master Key und kommt von .xda-developers. Habe ich getestet und beide sind gepatcht und zwar ab Android 4.x möglich. Eine Lösung für 2.3 habe ich noch nicht gefunden. Google kann auch nicht alles testen und finden. Daher kann man sich nicht unbedingt nur auf den Google Shop verlassen. Brain ist immer noch am Besten
Also vom Rekey kann ist nur abraten da er eh nichts bringt. Der Xposed Patch for Master Key fixt alle
Also auf dem S4 bringt das nichts, er zeigt Sicheres Gerät aber BluBox sagt unpatched direkt wieder deinstalliert….